Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro del servicio AWS

El conector de registro de servicio de Amazon Web Services (AWS) está disponible en dos versiones: el conector heredado para la administración y los registros de datos de CloudTrail, y la nueva versión que puede ingerir registros de los siguientes servicios de AWS extrayéndolas de un cubo de S3 (los vínculos son a la documentación de AWS):

• Amazon Virtual Private Cloud (VPC) - Registros de flujo de VPC
• Amazon GuardDuty - Resultados
• AWS CloudTrail - Administración y eventos de datos
• AWS CloudWatch - Registros de CloudWatch

Conector S3 (nuevo)

En esta pestaña se explica cómo configurar el conector de AWS S3 mediante uno de los dos métodos:

• Configuración automática (recomendado)
• Configuración manual

Prerrequisitos

• Debe tener permiso de escritura en el área de trabajo de Microsoft Sentinel.

• Instale la solución de Amazon Web Services desde el Centro de contenido de Microsoft Sentinel. Para más información, consulte Descubre y administra el contenido listo para usar de Microsoft Sentinel.

• Instale PowerShell y la CLI de AWS en la máquina (solo para la instalación automática):

  • Instrucciones de instalación de PowerShell
  • Instrucciones de instalación para la CLI de AWS (desde la documentación de AWS)

• Asegúrese de que los registros del servicio de AWS seleccionado usen el formato aceptado por Microsoft Sentinel:

  • Amazon VPC: archivo .csv en formato GZIP con encabezados; delimitador: espacio.
  • Amazon GuardDuty: formatos json-line y GZIP.
  • AWS CloudTrail: archivo .json en formato GZIP.
  • CloudWatch: archivo .csv en formato GZIP sin encabezado. Si necesita convertir los registros a este formato, puede usar esta función lambda de CloudWatch.

Configuración automática

Para simplificar el proceso de incorporación, Microsoft Sentinel ha proporcionado un script de PowerShell para automatizar la configuración del lado AWS del conector: los recursos, las credenciales y los permisos necesarios de AWS.

El script:

• Crea un proveedor de identidades web de OIDC para autenticar a los usuarios de Microsoft Entra ID en AWS. Si ya existe un proveedor de identidades web, el script agrega Microsoft Sentinel como audiencia al proveedor existente.

• Crea un rol asumido por IAM con los permisos mínimos necesarios para conceder a usuarios autenticados por OIDC acceso a sus registros en un cubo de S3 y una cola de SQS determinados.

• Permite a los servicios de AWS especificados enviar registros a ese cubo S3 y mensajes de notificación a esa cola de SQS.

• Si es necesario, crea ese cubo S3 y esa cola de SQS para este fin.

• Configura las directivas de permisos IAM necesarias y las aplica al rol IAM creado anteriormente.

En el caso de las nubes de Azure Government, un script especializado crea un proveedor de identidades web OIDC diferente, al que asigna el rol asumido de IAM.

Instrucciones

Para ejecutar el script para configurar el conector, siga estos pasos:

1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.

2. Seleccione Amazon Web Services S3 en la galería de conectores de datos.

   Si no ve el conector, instale la solución de Amazon Web Services desde el Centro de contenido de Microsoft Sentinel.

3. En el panel de detalles del conector, seleccione Abrir página del conector.

4. En la sección Configuración, en 1. Configure el entorno de AWS, expanda Configuración con script de PowerShell (recomendado).

5. Siga las instrucciones en pantalla para descargar y extraer el script de instalación de AWS S3 (el vínculo descarga un archivo ZIP que contiene el script de instalación principal y los scripts auxiliares) de la página del conector.

   Nota:

   Para ingerir registros de AWS en una nube de Azure Government, descargue y extraiga este script especializado de configuración de AWS S3 Gov en su lugar.

6. Antes de ejecutar el script, ejecute el comando aws configure desde la línea de comandos de PowerShell y escriba la información pertinente cuando se le solicite. Consulte Interfaz de la línea de comandos de AWS | Conceptos básicos de configuración (desde la documentación de AWS) para obtener más información.

7. Ahora ejecute el script. Copie el comando de la página del conector (en "Run script to set up the environment" [Ejecutar script para configurar el entorno]) y péguelo en la línea de comandos.

8. El script le pide que escriba el identificador del área de trabajo. Este id. aparece en la página del conector. Cópielo y péguelo en el aviso del script.

   

9. Cuando el script termine de ejecutarse, copie el ARN de rol y la dirección URL de SQS de la salida del script (vea a continuación el ejemplo de la primer recorte de pantalla) y péguelos en sus respectivos campos en la página del conector en 2. Agregue conexión (consulte el segundo recorte de pantalla a continuación).

   

   

10. Seleccione un tipo de datos en la lista desplegable Tabla de destino. Esto indica al conector qué registro del servicio AWS esta conexión se va a recopilar y en qué tabla de Log Analytics almacena los datos ingeridos. Después, seleccione Agregar conexión.

Nota:

El script puede tardar hasta 30 minutos en terminar de ejecutarse.

Instalación manual

Se recomienda usar el script de instalación automática para implementar este conector. Si por cualquier motivo no desea aprovechar esta comodidad, siga los pasos que se indican a continuación para configurar el conector manualmente.

1. Configure su entorno de AWS como se describe en Configuración del entorno de Amazon Web Services para recopilar registros de AWS en Microsoft Sentinel.

2. En la consola de AWS:

   1. Ingrese al servicio Administración de identidades y acceso (IAM) y navegue a la lista de roles. Seleccione el rol que creó anteriormente.

   2. Copie el ARN en el Portapapeles.

   3. Introduzca Simple Queue Service, seleccione la cola de SQS que creó y copie la dirección URL de la cola en el Portapapeles.

3. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.

4. Seleccione Amazon Web Services S3 en la galería de conectores de datos.

   Si no ve el conector, instale la solución de Amazon Web Services desde el Centro de contenido de Microsoft Sentinel. Para más información, consulte Descubre y administra el contenido listo para usar de Microsoft Sentinel.

5. En el panel de detalles del conector, seleccione Abrir página del conector.

6. En 2. Agregar conexión:

   1. Pegue el ARN del rol IAM que copió hace dos pasos en el campo Rol que agregar.
   2. Pegue la dirección URL de la cola de SQS que copió en el último paso en el campo Dirección URL de SQS.
   3. Seleccione un tipo de datos en la lista desplegable Tabla de destino. Esto indica al conector qué registro del servicio AWS esta conexión se va a recopilar y en qué tabla de Log Analytics almacena los datos ingeridos.
   4. Seleccione Agregar conexión.

   

Solución de problemas conocidos

Problemas conocidos

• Los distintos tipos de registros se pueden almacenar en el mismo cubo de S3, pero no deben almacenarse en la misma ruta de acceso.

• Cada cola de SQS debe apuntar a un tipo de mensaje. Si desea incorporar los resultados de GuardDuty y los registros de flujo del VPC, configure colas independientes para cada tipo.

• Una sola cola de SQS solo puede servir una ruta de acceso en un cubo S3. Si va a almacenar registros en varias rutas de acceso, cada ruta de acceso requiere su propia cola de SQS dedicada.

Solución de problemas

Obtenga información sobre cómo solucionar problemas de conectores de Amazon Web Services S3.

Conector de CloudTrail (heredado)

En esta pestaña se explica cómo configurar el conector AWS CloudTrail. El proceso de configuración consta de dos partes: el lado de AWS y el lado de Microsoft Sentinel. El proceso de cada lado genera información usada por el otro lado. Esta autenticación bidireccional crea una comunicación segura.

Nota:

AWS CloudTrail tiene limitaciones integradas en su LookupEvents API. No permite más de dos transacciones por segundo (TPS) por cuenta y ninguna consulta puede devolver más de 50 registros. Si un solo inquilino genera constantemente más de 100 registros por segundo en una región, se producirán trabajos pendientes y retrasos en la ingesta de datos.

Actualmente, solo puede conectar AWS Commercial CloudTrail a Microsoft Sentinel y no a AWS GovCloud CloudTrail.

Prerrequisitos

• Debe tener permiso de escritura en el área de trabajo de Microsoft Sentinel.
• Instale la solución de Amazon Web Services desde el Centro de contenido de Microsoft Sentinel. Para más información, consulte Descubre y administra el contenido listo para usar de Microsoft Sentinel.

Nota:

Microsoft Sentinel recopila eventos de administración de CloudTrail de todas las regiones. Se recomienda no transmitir eventos de una región a otra.

Conexión a AWS CloudTrail

La configuración de este conector tiene dos pasos:

• Creación de un rol asumido por AWS y concesión de acceso a la cuenta de AWS Sentinel
• Adición de la información del rol de AWS al conector de datos AWS CloudTrail

Creación de un rol asumido por AWS y concesión de acceso a la cuenta de AWS Sentinel

1. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.

2. Seleccione Amazon Web Services en la galería de conectores de datos.

   Si no ve el conector, instale la solución de Amazon Web Services desde el Centro de contenido de Microsoft Sentinel. Para más información, consulte Descubre y administra el contenido listo para usar de Microsoft Sentinel.

3. En el panel de detalles del conector, seleccione Abrir página del conector.

4. En Configuración, copie el identificador de cuenta de Microsoft y el Id. externo (id. de área de trabajo) en el Portapapeles.

5. En otra ventana o pestaña del explorador, abra la consola de AWS. Siga las instrucciones de la documentación de AWS para crear un rol para una cuenta de AWS.

   • Para el tipo de cuenta, en lugar de Esta cuenta, elija Otra cuenta de AWS.

   • En el campo Id. de cuenta, escriba el número 197857026523 (o péguelo) (el identificador de cuenta de Microsoft que copió en el paso anterior del Portapapeles). Este número es el identificador de la cuenta de servicio de Microsoft Sentinel para AWS. Indica a AWS que la cuenta que usa este rol es un usuario de Microsoft Sentinel.

   • En las opciones, seleccione Requerir identificador externo (no seleccione Requerir MFA). En el campo Id. externo, pegue el identificador del área de trabajo de Microsoft Sentinel que copió en el paso anterior. Esto identifica la cuenta específica de Microsoft Sentinel en AWS.

   • Asigne la directiva de permisos AWSCloudTrailReadOnlyAccess. Agregue una etiqueta si lo desea.

   • Asigne al rol un nombre descriptivo que incluya una referencia a Microsoft Sentinel. Ejemplo: "MicrosoftSentinelRole".

Adición de la información del rol de AWS al conector de datos AWS CloudTrail

1. En la pestaña del explorador abierta a la consola de AWS, introduzca el servicio Administración de identidad y acceso (IAM) y vaya a la lista de Roles. Seleccione el rol que creó anteriormente.

2. Copie el ARN en el Portapapeles.

3. Vuelva a la pestaña del explorador de Microsoft Sentinel, que debe abrirse en la página del conector de datos de Amazon Web Services. En la sección Configuración, pegue el ARN de rol en el campo Rol que agregar y seleccione Agregar.

   

4. Para usar el esquema correspondiente de Log Analytics con los eventos de AWS, busque AWSCloudTrail.

   Importante

   A partir del 1 de diciembre de 2020, el campo AwsRequestId se ha reemplazado por el campo AwsRequestId_ (tenga en cuenta el guion bajo agregado). Los datos del campo anterior AwsRequestId se conservarán hasta el final del período de retención de datos especificado por el cliente.

Envío de eventos de CloudWatch con formato a S3 mediante una función lambda (opcional)

Si los registros de CloudWatch no están en el formato aceptado por Microsoft Sentinel - .csv archivo en un formato GZIP sin un encabezado - use una función lambda ver el código fuente dentro de AWS para enviar eventos de CloudWatch a un cubo S3 en el formato aceptado.

La función lambda usa el entorno de ejecución de Python 3.9 y la arquitectura de x86_64.

Para implementar la función lambda:

1. En la consola de administración de AWS, seleccione el servicio Lambda.

2. Seleccione Crear función.

   

3. Escriba un nombre para la función y seleccione Python 3.9 como entorno de ejecución y x86_64 como arquitectura.

4. Seleccione Crear función.

5. En Elegir una capa, seleccione una capa y, luego, Agregar.

   

6. Seleccione Permisos y, en Rol de ejecución, seleccione Nombre de rol.

7. En Directivas de permisos, seleccione Agregar permisos>Adjuntar directivas.

   

8. Busque las directivas AmazonS3FullAccess y CloudWatchLogsReadOnlyAccess y adjúntelas.

   

9. Vuelva a la función, seleccione Código y pegue el vínculo del código en Origen del código.

10. Los valores predeterminados de los parámetros se establecen mediante variables de entorno. Si es necesario, puede ajustar manualmente estos valores directamente en el código.

11. Seleccione Implementar y, luego, Probar.

12. Cree un evento rellenando los campos necesarios.

    

13. Seleccione Probar para ver cómo aparece el evento en el cubo de S3.

Pasos siguientes

En este documento, ha aprendido a conectarse a los recursos de AWS para ingerir sus registros en Microsoft Sentinel. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Aprenda a obtener visibilidad de los datos y de posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.
• Usa hojas de trabajo para supervisar tus datos.